ブロックチェーン技術と暗号通貨は、企業が資本を調達する方法に革命をもたらしました。 ベンチャーキャピタルを売り込み、資金調達プロセス中にエクイティ、コントロール、および自律性を犠牲にする代わりに、スタートアップは、いくつかの金銭的インセンティブを超えることなく、開発と成功に必要な資金にアクセスできます。 そうだとしても、最初のコインの提供は常にだまされないわけではありません。
暗号通貨の非常に高く評価されたセキュリティ上の利点とブロックチェーン自体の防御にもかかわらず、最も厳しい壁でさえ難攻不落ではないことを示すいくつかの非常に公表された事例があります。 将来のICOランチャーにとって、これは敵対的で潜在的に警戒すべき景観を描きます。
ICOが調達した資金の約10%がハッキングにより盗まれたり失われたりしたと報告されているため、ブロックチェーンベースのスタートアップは成功のための困難な戦いに直面しています。 ただし、リスクは、会社が成長するために必要な資本を求めることを妨げるものではありません。 代わりに、ICOのセキュリティを大幅に強化し、クラウドファンディングのラウンドを安全にするだけでなく、成功させるための戦略がいくつかあります。
1.基本となるスマート契約の監査
スマートコントラクトは、契約を実行するためのルールが完全に自動化され、アルゴリズムにハードコーディングされているため、信頼できない交換を促進する独創的なソリューションを提供します。 ただし、ICOに関しては、スマートコントラクトには資本調達プロセスの弱点であるという歴史があります。 実際、イーサリアムのハッキングの半分近くが、設計が不十分なスマートコントラクトのせいだと推定している人もいます。
スマートコントラクトおよびブロックチェーンのエキスパートであるフランクボネットは、スマートコントラクトの専門的な監査を受けることの重要性を強調しています。
「100%気密のスマートコントラクトをコーディングすることはほとんど不可能です」とBonnet氏は述べています。 「最高のプログラマーでさえ間違いを犯すので、たとえ投資家の心の平穏のためであっても、第三者によるレビューと契約の監査が絶対に必要です。」
パリティの凍結やDAOスキャンダルなどの例は、ハッカーがスマートコントラクトコードの脆弱性を見つけて悪用した結果です。 さらに重要なことは、スマートコントラクトのコーディングが不十分だと、資金の消失、トークンの重複、トークンマイニングプロセスを操作するように設計されたスクリプトなど、他の問題が発生する可能性があることです。
ブロックチェーンアプリケーションとスマートコントラクトのセキュリティと侵入テストに焦点を当てているHoshoのようなブロックチェーンセキュリティサービスでスマートコントラクトの事前ICO監査を実行することで、プロジェクトは大惨事になる前に問題を検出できます。
Hosho Groupの創立者兼CEOであるHartej Singh Sawhney氏は、次のように述べています。スマートコントラクトのサードパーティの技術監査。 さらに、CoinDashに何が起こったかなどの状況を回避できるように、Webサイトの侵入テストが重要です。」
2.コミュニティの懸念に耳を傾け、それらを解決する
パブリックブロックチェーンと関連する暗号通貨の最もユニークな側面の1つは、その透明度です。 ほとんどの企業は、コードのすべてまたは少なくとも一部をリリースし、場合によってはICOのスマートコントラクトもリリースします。 主流の個人投資家に人気が高まっているにもかかわらず、ブロックチェーンをフォローしているコミュニティの大部分は、コーディングの知識があり、これらの関連する詳細を調べるのに時間がかかります。 一部の企業では、これは実際の手順よりも形式的なものですが、表示方法が間違っている場合があります。
DAOは、企業がコミュニティに耳を傾けなければならない理由の完璧な例です。 同社のオープンソースコードは主要なリポジトリでレビューできるようになっており、いくつかの開発者はファイルに重大なセキュリティ脆弱性があると警告しました。 コードを修正する代わりに、DAOは警告を無視し、結果として数百万ドルが失われました。
コミュニティのメンバーは、プラットフォームまたはサービスによって提供されるユーティリティから利益を得ることができることを意味するため、成功したICOに既得権益を持っています。 したがって、懸念を表明し、問題を明らかにするための明確なチャネルを提供することは、ICOを保護するための重要な要素です。 ただし、より重要なのは、これらの懸念を具体的な修正に変えることです。これは、契約を作成するときに見逃した可能性のある領域になる可能性があるためです。
3.フィッシャーを検出するための堅牢なポリシーを実装する
ICOのプログラミング以外の側面では、潜在的な詐欺の兆候に常に注意を払うことが重要です。 プログラマやその他の技術側の従業員は、サイバーセキュリティの傾向やベストプラクティスを知っているかもしれませんが、すべてのチームメンバーがオンラインの安全性を知っている、または必ずしも気にしているわけではありません。 この場合の最初のステップは教育です。 ビジネス開発および営業チームのメンバーはコードを理解する必要はありませんが、潜在的なエクスプロイトとハッキングや詐欺が行われている兆候について知る必要があります。
さらに重要なことは、企業は常に詐欺を避けるために安全かつ積極的に取り組む必要があります。 Facebook、Telegram、その他のハブなどのWebプラットフォームを一貫してスキャンすることで、疑わしいアクティビティを指摘し、不測の事態に備えることができます。 また、これにより、重要な更新を確実に中継し、ICOの正しいWebサイトを表示し、潜在的なリスクについてコミュニティメンバーを教育する機会がチームに与えられます。
EtherDeltaの場合、ハッカーがDNSレコードにアクセスしてドメインを置き換えることで設定したサイトの不正コピーを検出できないため、数千ドルの損失が発生しました。 詐欺師は、オリジナルのように見える偽のWebサイトを設定しましたが、会社は潜在的な詐欺を特定して報告するほど警戒していませんでした。
4. ICOゲートウェイに強力なセキュリティを提供する
ハッキングされ、43, 000 ETHの損失をもたらした非常に誇張されたICOであるCoinDashの物語は、新規参入者にとっての警告物語となっています。 同社のスマート契約は保護されていましたが、Webサイトは保護されていませんでした。 その結果、ハッカーはICOゲートウェイのウォレットアドレスを変更し、公開されると、ハッカーは7分以内に700万ドル以上を盗みました。
ハッカーは、ソースファイルを変更し、Webサイトの完全なリモートコントロールを許可するエクスプロイトを介して、会社のWebサイトにアクセスすることができました。 ウォレットのアドレスを変更するだけで、最近いくつかのコインが戻ってきたにもかかわらず、彼らは大規模な強盗で逃げることができました。
CoinDashの話の教訓は、セキュリティをアップグレードしているほとんどのICOのインフラストラクチャだけでなく、ウェブサイトのような見過ごされやすいターゲットをターゲットにすることがますます一般的になっていることです。 この場合、大規模なセキュリティ監査は必要ありませんが、適切なツールを展開してゲートウェイを保護することが重要です。
これを実現する最も簡単で効果的な方法の1つは、Incapsulaなどの強力なWebアプリケーションファイアウォール(WAF)を実装することです。 WAFはインバウンドとアウトバウンドのトラフィックを制御し、企業がファイルやWebサイトにアクセスしているユーザーの制御と監視を改善します。 ファイアウォールは、これらのバックドアをWebサイトシェルに保護すると同時に、一般的なスクリプトインジェクションおよびエクスプロイトテクニックに対する保護を提供します。
5.ユーザーを保護する
ICOの成功は、必ずしもクラウドファンディングプロセスの終わりではありません。 トークンを受け取ったユーザーは、資金を提供したサービスにもアクセスする必要があります。 英国の暗号スタートアップ、Electroneumは、ユーザーがアカウントから締め出されるDDoS攻撃にWebサイトが襲われたことを知ったため、資金調達は戦いの半分に過ぎません。
DDoS攻撃のようなハッキングからWebサイトを保護するには、適切なツールを適切に配置する必要があり、WAFもこの機能を提供できます。 さらに、企業は常に、2要素認証、あらゆる変更の継続的な通知、セキュリティ目的でのアクティビティログの維持など、ユーザーにとって最も厳しいセキュリティ対策を推進する必要があります。 ユーザーを保護することは最重要事項であり、支払ったサービスに確実にアクセスできるようにすることは、法的影響を回避するために必要です。
ボトムライン
ICOは、事業の管理を維持しようとしているスタートアップにとって非常に効果的なツールですが、リスクがなく全能ではありません。 成功を確実にするには、常に最高のセキュリティ慣行を順守し、可能な限り安全であり、ユーザーも保護されるように努力する必要があります。